
عملیات المپیک: وقتی سرنوشت حمله سایبری استاکسنت به ایران دست یک جاسوس هلندی افتاد
تاکنون درباره ویروس استاکسنت، هدف آن و آثار مخربی که روی برنامه غنیسازی هستهای ایران داشته مطالب زیادی منتشر شده است. با وجود این، تا امروز هرگز به این سوال پاسخ داده نشده است که آمریکا و اسرائیل چگونه توانستند بدافزار خود را به سیستمهای رایانهای یک نیروگاه اتمی در قلب ایران وارد کنند.
ویروس استاکسنت اولین نمونه در نوع خود بود که برای خرابکاری دقیق در برنامه هستهای ایران طراحی شد و در سال ۲۰۰۷ بود که سروکلهاش پیدا شد. این تاریخ مصادف بود با زمانی که جمهوری اسلامی ایران نصب اولین سری از سانتریفیوژها را در نیروگاه نطنز آغاز کرده بود.
بر اساس گزارش سایت خبری یاهو، رابط پشت این حمله سایبری، که تا پیش از این در هیچ گزارشی به وجود و نقش او اشاره نشده است، یک مامور مخفی ایرانی بود که سازمان اطلاعات هلند به درخواست سیآیای و آژانس اطلاعاتی اسرائیل، موساد، استخدام کرده بود.
بنا بر چهار منبع اطلاعاتی، مهندسی ایرانی که به استخدام AIVD (سازمان اطلاعات هلند) درآمده بود، دادههای مهم و حیاتی را گردآوری کرد و در اختیار برنامهنویسهای آمریکایی قرار داد تا بتوانند ویروس را به شکلی هدفمند برای سیستمهای رایانهای نطنز طراحی کنند. زمانی هم که نوبت اجرای استاکسنت رسید، همان جاسوس ایرانی راههای دسترسی داخلی به نیروگاه را فراهم کرد.
موساد و سیآیای در سال ۲۰۰۴، از هلند خواستند برای دسترسی به نطنز به آنها کمک کند و سه سال بعد، مامور مخفی ایرانی که در نقش مهندس مکانیک یک شرکت پیمانکار در نطنز مشغول کار بود، سلاح دیجیتالی را به سیستمهای هدف رساند. یکی از منابع آگاه به یاهو گفته است: «جاسوس هلندی مهمترین بخش (برنامه) ورود ویروس به نطنز بود.»
سازمان سیآیای و موساد به این مساله هیچ واکنشی نشان ندادهاند. سازمان اطلاعات هلند نیز از اظهارنظر درباره نقش خود در این عملیات خودداری کرد.
این عملیات پیچیده و مخفی، که به عملیات «بازیهای المپیک» معروف بود، برای نابودی برنامه هستهای ایران طراحی نشده بود، بلکه هدف آن به تعویق انداختن این برنامه تا زمانی بود که تحریمها و دیپلماسی تاثیر خود را بگذارند؛ راهبردی که در نهایت موفق از آب درآمد و باعث شد جمهوری اسلامی ایران پای میز مذاکره بیاید و سرانجام در سال ۲۰۱۵، به برجام برسد.
نقش هلندیها در این عملیات به زمانی برمیگردد که هنوز بین آمریکا و متحدانش درباره چگونگی مقابله با برنامه هستهای ایران همکاری محکم، گسترده و چندجانبه برقرار بود؛ شرایطی که از سال گذشته، با خروج دولت ترامپ از برجام، تغییر کرده است.
عملیات «بازیهای المپیک» ماموریتی مشترک بین ایالات متحده آمریکا و اسرائیل بود که سیآیای، موساد، آژانس امنیت ملی آمریکا، وزارت دفاع اسرائیل و آژانس امنیت ملی این کشور در آن دخیل بودند. اما به گفته منابع آگاه، آمریکا و اسرائیل همکارانی از سه کشور دیگر هم داشتند؛ به همین خاطر نام عملیات بازیهای المپیک بود، استعارهای از پنج حلقه نماد مشهورترین رویداد بینالمللی ورزشی جهان. سه کشور همکار دیگر در این ماموریت هلند، آلمان و فرانسه بودند، هرچند سازمان اطلاعات بریتانیا نیز در این پروژه نقش داشته است.
نقش آلمان در عملیات استاکسنت ارائه جزییات فنی درباره سیستمهای کنترل صنعتی ساخت شرکت زیمنس بود. نیروگاه نطنز از این سیستم برای کنترل گردش سانتریفیوژهایش استفاده میکند. فرانسه نیز اطلاعات مشابه دیگری در همین زمینه ارائه کرده بود.
اما در این بین، وظیفه هلندیها حیاتی و منحصربهفرد بود، ارائه اطلاعات کلیدی درباره فعالیتهای ایران در زمینه تهیه تجهیزات برنامه هستهای از اروپا و همینطور ارائه اطلاعات درباره سانتریفیوژها. دلیل این امر برمیگردد به اینکه طراحی سانتریفیوژهای نطنز بر پایه طرح یک شرکت هلندی است که در سال ۱۹۷۰، یک دانشمند هستهای پاکستانی به نام عبدالقدیر خان آن را دزدید. خان این طرحها را برای راهاندازی برنامه هستهای پاکستان به سرقت برده بود، اما بعد تصمیم گرفت اطلاعاتش را به کشورهای دیگر بفروشد؛ ایران و لیبی از مشتریهای طرح سرقتی بودند.
سازمان اطلاعات هلند همراه آمریکا و جاسوسان بریتانیایی به شبکه مشاوران فروش عبدالقدیر خان و شرکتهای دخیل در اجرای برنامه هستهای ایران و لیبی نفوذ کردند. این یک اقدام نفوذی ساده نبود. علاوه بر اطلاعات تجاری و جزییات معاملهها، عملیات گستردهای برای هک این مجموعهها طراحی و فاز جاسوسی دیجیتال نیز به این ماموریت اضافه شد.
تواناییهای سایبری سازمان اطلاعات هلند اکنون بر کسی پوشیده نیست. سال گذشته، مشخص شد همین نهاد بود که در سال ۲۰۱۶ سازمان اطلاعات آمریکا را از هک کمیته ملی دموکراتها مطلع کرد. آگاهی از این اطلاعات برمیگشت به موفقیت ماموران سازمان اطلاعات هلند در هک یک گروه هکر روسی به نام کوزی بِر (Cozy Bear). سازمان اطلاعات هلند زمانی که روسیه در سال ۲۰۱۵ به رایانههای وزارت امور خارجه آمریکا و کمیته ملی دموکراتها نفوذ کرد، روی فعالیت هکرها نظارت کامل داشت.
اما در روزهای آغازین برنامه هستهای ایران، گروه هکرهای سازمان اطلاعات هلند هنوز کوچک و در مرحله شکلگیری بود.
برنامه هستهای ایران، که سالها بود فعالیت چندانی نداشت، ناگهان از سال ۱۹۹۶ دوباره جان گرفت، همان زمانی که جمهوری اسلامی ایران مجموعه طرحها و اجزای سانتریفیوژها را مخفیانه از عبدالقدیر خان خریداری کرد. در سال ۲۰۰۰، ایران با هدف ساخت نیروگاهی با ظرفیت ۵۰ هزار سانتریفیوژ و تولید اورانیوم غنیشده، کلنگ مجموعه نظنز را به زمین زد. به گفته منبعی آگاه، در همین سال بود که سازمان اطلاعات هلند سیستم ایمیل یکی از سازمانهای دفاعی کلیدی جمهوری اسلامی ایران را برای کسب اطلاعات بیشتر درباره برنامه هستهای هک کرد.
سازمانهای اطلاعاتی اسرائیل و آمریکا تا ماه اوت ۲۰۰۲، به مدت دو سال فعالیتهای ایران در نطنز را زیر نظر داشتند. در این تاریخ، یک گروه مخالف حکومت ایران، بر اساس دادههایی که از ماموران اطلاعاتی دریافت کرده بود، در یک نشست مطبوعاتی در واشینگتن دیسی، برنامه هستهای ایران را افشا کرد. بازرسهای آژانس بینالمللی انرژی اتمی، که بر برنامه هستهای تمام کشورهای جهان نظارت دارند، بلافاصله خواستار دسترسی به نیروگاه نطنز شدند؛ به آنها گفته شده بود برنامه هستهای ایران بیش از آنچه انتظار میرفت پیشرفت کرده است.
پس از آن، ایران پذیرفت تمام فعالیتهای نیروگاه نطنز را متوقف کند. این در حالی بود که آژانس بینالمللی انرژی اتمی به دنبال کسب اطلاعات بیشتر درباره برنامه هستهای ایران بود. تعلیق فعالیتهای نطنز تا سال ۲۰۰۵ ادامه پیدا کرد. آمریکا و اسرائیل اندکی پیش از زمانی که ایران قصد از سرگیری برنامه هستهایاش را داشت، تصمیم گرفتند به آن نفوذ کنند؛ اتفاقی که در نهایت با موفقیت انجام شد.
درخواست کمک از هلندیها برای این عملیات برمیگردد به اواخر سال ۲۰۰۴، زمانی که یک رابط فعال موساد در سفارت این کشور در لاهه و یک مامور سیآیای مستقر در سفارت آمریکا با نماینده سازمان اطلاعات هلند دیدار کردند. آن زمان هنوز موضوع ویروس و سلاح دیجیتال مطرح نبود و بحثها فقط درباره عملیات اطلاعاتی بود.
اما این زمانبندی اتفاقی نبود. در سال ۲۰۰۳، نیروهای اطلاعاتی بریتانیا و آمریکا به کشتیای برخوردند که حامل هزاران قطعه سانتریفیوژ به مقصد لیبی بود. مدل این قطعهها با نمونهای که ایران در نطنز استفاده میکرد یکی بود. کشف این محموله برنامه هستهای مخفیانه لیبی را لو داد. مقامهای لیبی پذیرفتند در قبال برداشته شدن تحریمها، از برنامه خود صرفنظر کنند و قبول کردند هر قطعهای را که تا آن زمان تحویل گرفتهاند پس بدهند.
در ماه مارس ۲۰۰۴، آمریکا علیرغم میل هلندیها، محموله ضبطشده از کشتی را همراه قطعههای که لیبی در اختیار داشت به «آزمایشگاه ملی اوک ریج» در تنسی منتقل کرد و سپس، به تاسیساتی در اسرائیل فرستاد. در ماههای بعد، دانشمندان هستهای با مونتاژ قطعهها و بررسی آنها، زمان تقریبی مورد نیاز جمهوری اسلامی ایران برای دستیابی به بمب اتم را پیشبینی کردند. اینجا بود که طرح خرابکاری در سانتریفیوژها متولد شد.
سازمان اطلاعات هلند همان زمان یک عامل نفوذی در ایران داشت. پس از درخواست کمک آمریکا و اسرائیل، مامور مخفی هلند تصمیم گرفت دو مسیر موازی را پیش بگیرد. هر دو راهکار نیازمند تاسیس یک شرکت صوری ایرانی بود، با این امید که بالاخره یکی از آنها امکان ورود به نطنز را پیدا کند.
راهاندازی شرکت صوری همراه کارمند، مشتری و ایجاد سابقه فعالیت به زمان نیاز داشت و وقت بسیار محدود بود. اواخر سال ۲۰۰۵، ایران اعلام کرد از توافق تعلیق فعالیتهای هستهای خارج میشود و در فوریه ۲۰۰۶، اولین دور غنیسازی گاز هگزافلوراید اورانیوم را در فاز آزمایشی نیروگاه نطنز آغاز کرد. البته مشکلاتی وجود داشت که از سرعت ایران کاست اما در نهایت یک سال بعد، در فوریه ۲۰۰۷، برنامه غنیسازی با نصب اولین سانتریفیوژها در نیروگاه نطنز، بهطور جدی آغاز شد.
در آن زمان، طراحی کدهای مخرب ویروس مدتها بود که شکل گرفته بود. در سال ۲۰۰۶، یک خرابکاری آزمایشی روی سانتریفیوژهای مشابه صورت گرفت و نتایجش در اختیار جرج بوش قرار گرفت؛ بوش وقتی متقاعد شد این عملیات پنهانی امکان موفقیت دارد، دستور به اجرای آن داد.
در ماه مه ۲۰۰۷، ایران ۱۷۰۰ سانتریفیوژ در نیروگاه اتمی نطنز نصب کرده بود و قصد داشت تا تابستان همان سال، تعدادشان را به دو برابر افزایش دهد. اما قبل از تابستان ۲۰۰۷، مامور مخفی هلند وارد نطنز شده بود.
اولین شرکتی که جاسوس ایرانی سازمان اطلاعات هلند راه انداخت نتوانست به نطنز نفوذ کند. به گفته منابع آگاه، در نحوه راهاندازی شرکت مشکلی وجود داشت که مقامهای ایرانی را مشکوک کرده بود.
شرکت دوم اما از اسرائیلیها کمک گرفته بود. این بار، جاسوس هلندی که آموزش مهندسی دیده بود موفق شد خودش را مهندس مکانیک ماشینآلات جا بزند و وارد نطنز شود. کار او نصب سانتریفیوژ نبود، اما موقعیتش اجازه میداد اطلاعات مربوط به پیکربندی سیستمها را جمعآوری کند. ظاهرا در یک بازه زمانی چندماهه، چند بار به نطنز رفتوآمد داشته است.
یکی از منابع آگاه به یاهو میگوید: «او برای جمعآوری دادههای ضروری برای بهروزرسانی ویروس، مجبور شد چند بار آنجا برود.»
منابع آگاه اطلاعاتی درباره نوع دادههای جمعآوریشده ارائه ندادهاند، اما میدانیم قرار بود استاکسنت حملهای بسیار دقیق باشد و تنها زمانی میشد عملیات خرابکاری را اجرا کرد که جزییات تجهیزات و تنظیمات شبکه نطنز در اختیار طراحان قرار میگرفت. با اطلاعاتی که مامور مخفی ایرانی جمعآوری کرد، امکان بهروزرسانی کد ویروس و اجرای دقیق آن بر اساس جزییات سیستمهای نیروگاه نطنز فراهم شده بود.
در حقیقت، شواهدی کلی درباره بهروزرسانی کد ویروس در این بازه زمانی وجود دارد. بر اساس گزارش شرکت امنیتی «سیمانتک»، که با مهندسی معکوس، کد استاکسنت را بررسی کرده است، هکرها کد ویروس را یک بار در ماه مه ۲۰۰۶ و بار دیگر در فوریه ۲۰۰۷ بهروزرسانی کردند، درست زمانی که ایران نصب سانتریفیوژها در نطنز را آغاز کرده بود. اما اعمال تغییرات نهایی در کد ویروس استاکسنت در ۲۴ سپتامبر ۲۰۰۷ (۲ مهر ۱۳۸۶) انجام شد و عملکردهای کلیدی برای غیرفعال کردن حمله، به ویروس اضافه شد.
وظیفه استاکسنت این بود که دریچههای خروجی تعدادی از سانتریفیوژها را ببندد. در این حالت، گاز وارد سانتریفیوژها میشد اما امکان خروج پیدا نمیکرد. این کار باعث هدررفت گاز و افزایش دمای سانتریفیوژها میشد که بهمرور به آنها آسیب میزد.
این نسخه از استاکسنت فقط یک راه برای انتقال داشت؛ استفاده از فلش درایو. سیستمهای کنترل مورد استفاده در نطنز به اینترنت متصل نبودند، به همین خاطر باید راهی پیدا میشد تا ویروس وارد سیستم شود. مهندسهای نیروگاه نطنز سیستمهای کنترل را از طریق کدهایی که به واسطه درگاه یواسبی اجرا میشد مدیریت میکردند. بنابراین نفوذی ایرانی سازمان اطلاعات هلند دو راه داشت: یا کد ویروس را از طریق فلش مموری مستقیم وارد سیستم کند یا سیستم یکی از مهندسها را آلوده کند تا وقتی او سیستم کنترل نیروگاه را از طریق درگاه یواسبی مدیریت میکند، استاکسنت نیز وارد سیستم شود.
هنگامی که ویروس با موفقیت نصب شد، جاسوس ایرانی دیگر به نطنز نرفت و بدافزار عملیات تخریبیاش را در طول سال ۲۰۰۸، طبق پیشبینیها، انجام داد. طراحان ویروس استاکسنت در سال ۲۰۰۹ تصمیم گرفتند تاکتیکشان را تغییر دهند و سه نسخه جدید از این ویروس را منتشر کردند، یکی در ماه ژوئن همان سال و دو نسخه دیگر در ماههای مارس و آوریل ۲۰۱۰. در نسخه جدید، ویروس بهجای بستن دریچه سانتریفیوژها، سرعت چرخش آنها را به بالاتر از حد استاندارد افزایش میداد و بعد به حالت اولیه برمیگرداند. هدف از این کار هم تخریب سانتریفیوژها بود هم تضعیف راندمان فرایند غنیسازی اورانیوم. نکته جالب توجه وجود کد مشترک میان این نسخه از ویروس و نمونه نهایی سال ۲۰۰۷ است. این مساله نشان میدهد در این نسخه نیز از همان اطلاعاتی بهرهبرداری شده بود که جاسوس ایرانی در سال ۲۰۰۷ تهیه کرده بود.
در آن زمان، طراحان حمله ویروسی دیگر به داخل نیروگاه نطنز دسترسی نداشتند یا احتمالا دیگر نیازی نداشتند. به همین خاطر، این نسخه از استاکسنت با آلوده کردن اهدافی دیگر به نیروگاه راه پیدا کرد. این اهداف در واقع کارمندان پنج شرکت ایرانی بودند که وظیفه نصب تجهیزات کنترل سیستم در نیروگاه نطنز و دیگر مراکز را بر عهده داشتند، پیمانکارانی که حالا حامل سلاحی دیجیتال بودند.
لیام اومرچو، مدیر واحد توسعه فناوریهای امنیتی شرکت سیمانتک، میگوید: «شگفتانگیز است ۱۰ سال بعد از کشف استاکسنت، هنوز هم درباره توسعه آن مطالب تازه پیدا میکنیم.» او یکی از سه محققی بود که پس از کشف این ویروس، کد آن را از طریق مهندسی معکوس بررسی کرد. به عقیده اومرچو، تغییرات تاکتیکی در نسخه آخر استاکسنت نشان میدهد توانایی و مهارت طراحان ویروس افزایش یافته بود و دیگر به جاسوس داخلی نیاز نداشتند.
او میگوید: «شاید در سال ۲۰۰۴، نمیتوانستند این عملیات را بهصورت خودکار و بدون دخالت فردی در محل انجام دهند، اما پنج سال بعد، بدون داشتن نیرویی در محل و به خطر انداختن کسی، توانستند کل عملیات را با موفقیت اجرا کنند.»
ولی این تاکتیک ضعف دیگری داشت. هکرها شیوههای مختلفی را برای پخش این نسخه از ویروس طراحی کرده بودند تا احتمال دستیابی به سیستمهای داخلی نیروگاه را افزایش دهند و همین مساله کنترل استاکسنت را از دسترس خارج کرد. ویروس ابتدا به سایر مشتریهای آن پنج پیمانکار منتقل شد و از آنجا به هزاران سیستم در سراسر جهان. همین مساله سبب شد استاکسنت در ژوئن سال ۲۰۱۰ شناسایی شود.
ماهها پس از کشف استاکسنت، یک وبسایت اسرائیلی گزارش داد ایران چند کارمند نیروگاه نطنز را به باور اینکه در ورود ویروس به نیروگاه نقش داشتهاند، بازداشت و اعدام کرده است. دو منبع اطلاعاتی تایید کردهاند که این عملیات هزینههای جانی نیز داشته است اما هیچ کدام اشاره نکردند جاسوس ایرانی سازمان اطلاعات هلند هم جزو آنها بوده است یا نه.
هرچند استاکسنت به دلیل افشای پیش از موعد، برنامه هستهای جمهوری اسلامی ایران را بهطور کامل عقب نراند، برای اثرگذاری تحریمها و گفتوگوهای دیپلماتیک و آوردن ایران سر میز مذاکره زمان کافی خرید. استاکسنت همچنین ماهیت جنگ را تغییر داد و یک مسابقه تسلیحاتی دیجیتال ایجاد کرد و باعث شد کشورهای دیگر، از جمله ایران، به عملیات سایبری بهعنوان بازوی دستیابی به اهداف سیاسی بنگرند؛ پیامدی که آمریکا از آن زمان با آن درگیر بوده است.
ژنرال مایکل هایدن، رییس سابق سیآیای و آژانس امنیت ملی آمریکا، ماهیت پیشگامانه این عملیات و تاثیر مخرب استاکسنت را با بمبهای اتمی هیروشیما و ناگاساکی قابل قیاس دانسته است: «نمیخواهم وانمود کنم همان اثر را داشته، اما تا اندازهای (تاثیر آن) شبیه اوت ۱۹۴۵ بود.»